Spostare un insieme di credenziali di Servizi di ripristino tra sottoscrizioni di Azure e gruppi di risorse

Questo articolo illustra come spostare un insieme di credenziali di Servizi di ripristino configurato per Backup di Azure tra sottoscrizioni di Azure o in un altro gruppo di risorse nella stessa sottoscrizione. È possibile usare il portale di Azure o PowerShell per spostare un insieme di credenziali di Servizi di ripristino.

Aree supportate

Tutte le aree pubbliche e le aree sovrane sono supportate, ad eccezione della Francia meridionale, della Francia centrale, della Germania nord-orientale e della Germania centrale.

Prerequisiti per lo spostamento dell'insieme di credenziali di Servizi di ripristino

  • Durante lo spostamento dell'insieme di credenziali tra gruppi di risorse, sia i gruppi di risorse di origine che di destinazione vengono bloccati impedendo le operazioni di scrittura ed eliminazione. Per altre informazioni, vedere questo articolo.
  • Solo la sottoscrizione amministratore dispone delle autorizzazioni per spostare un insieme di credenziali.
  • Per lo spostamento di insiemi di credenziali tra sottoscrizioni, la sottoscrizione di destinazione deve risiedere nello stesso tenant della sottoscrizione di origine e il relativo stato deve essere abilitato. Per spostare un insieme di credenziali in un Azure AD diverso, vedere Trasferire una sottoscrizione a una directory diversa e domande frequenti sull'insieme di credenziali di Servizi di ripristino.
  • È necessario avere l'autorizzazione per eseguire operazioni di scrittura sul gruppo di risorse di destinazione.
  • Lo spostamento dell'insieme di credenziali modifica solo il gruppo di risorse. L'insieme di credenziali di Servizi di ripristino si troverà nella stessa posizione e non può essere modificato.
  • È possibile spostare un solo insieme di credenziali di Servizi di ripristino, per area, alla volta.
  • Se una macchina virtuale non viene spostata con l'insieme di credenziali di Servizi di ripristino tra sottoscrizioni o in un nuovo gruppo di risorse, i punti di ripristino della macchina virtuale correnti rimarranno intatti nell'insieme di credenziali fino alla scadenza.
  • Sia che macchina virtuale venga spostata nell'insieme di credenziali o meno, è sempre possibile ripristinare la macchina virtuale dalla cronologia di backup conservata nell'insieme di credenziali.
  • Il Crittografia dischi di Azure richiede che l'insieme di credenziali delle chiavi e le macchine virtuali si trovino nella stessa area e sottoscrizione di Azure.
  • Per spostare una macchina virtuale con dischi gestiti, vedere questo articolo.
  • Le opzioni per lo spostamento delle risorse distribuite tramite il modello classico variano a seconda che si spostino le risorse all'interno di una sottoscrizione o in una nuova sottoscrizione. Per altre informazioni, vedere questo articolo.
  • I criteri di backup definiti per l'insieme di credenziali vengono conservati dopo che l'insieme di credenziali viene spostato tra le sottoscrizioni o in un nuovo gruppo di risorse.
  • È possibile spostare un insieme di credenziali contenente solo uno dei tipi di elementi di backup seguenti. Tutti gli elementi di backup dei tipi non elencati di seguito dovranno essere arrestati e i dati eliminati definitivamente prima di spostare l'insieme di credenziali.
    • Macchine virtuali di Azure
    • Agente servizi di ripristino di Microsoft Azure (MARS)
    • Server di Backup di Microsoft Azure (MABS)
    • Data Protection Manager (DPM)
  • Se si sposta un insieme di credenziali contenente i dati di backup delle macchine virtuali, tra sottoscrizioni, è necessario spostare le macchine virtuali nella stessa sottoscrizione e usare lo stesso nome del gruppo di risorse della macchina virtuale di destinazione (come nella sottoscrizione precedente) per continuare i backup.

Nota

Lo spostamento degli insiemi di credenziali di Servizi di ripristino per Backup di Azure tra aree di Azure non è supportato.

Se sono state configurate macchine virtuali (Azure IaaS, Hyper-V, VMware) o computer fisici per il ripristino di emergenza con Azure Site Recovery, l'operazione di spostamento verrà bloccata. Per spostare gli insiemi di credenziali per Azure Site Recovery, vedere questo articolo per informazioni sullo spostamento manuale degli insiemi di credenziali.

Usare portale di Azure per spostare l'insieme di credenziali di Servizi di ripristino in un gruppo di risorse diverso

Per spostare un insieme di credenziali di Servizi di ripristino e le relative risorse associate in un gruppo di risorse diverso:

  1. Accedere al portale di Azure.

  2. Aprire l'elenco Insiemi di credenziali dei servizi di ripristino e selezionare l'insieme di credenziali che si vuole spostare. Quando il dashboard dell'insieme di credenziali viene aperto, viene visualizzato come illustrato nell'immagine seguente.

    Open Recovery Services Vault

    Se le informazioni di base per l'insieme di credenziali non sono visualizzate, selezionare l'icona a discesa. Le informazioni di base dovrebbero ora essere visualizzate.

    Essentials Information tab

  3. Nel menu panoramica dell'insieme di credenziali selezionare Cambia accanto al gruppo di risorse per aprire il riquadro Sposta risorse .

    Change Resource Group

  4. Nel riquadro Sposta risorse per l'insieme di credenziali selezionato è consigliabile spostare le risorse correlate facoltative selezionando la casella di controllo come illustrato nell'immagine seguente.

    Move Subscription

  5. Per aggiungere il gruppo di risorse di destinazione, nell'elenco a discesa Gruppo di risorse selezionare un gruppo di risorse esistente o selezionare l'opzione Crea un nuovo gruppo .

    Create Resource

  6. Dopo aver aggiunto il gruppo di risorse, verificare di aver compreso che gli strumenti e gli script associati alle risorse spostate non funzioneranno fino a quando non vengono aggiornati per l'uso di nuovi ID risorsa e quindi selezionare OK per completare lo spostamento dell'insieme di credenziali.

    Confirmation Message

Usare portale di Azure per spostare l'insieme di credenziali di Servizi di ripristino in una sottoscrizione diversa

È possibile spostare un insieme di credenziali di Servizi di ripristino e le risorse associate in una sottoscrizione diversa

  1. Accedere al portale di Azure.

  2. Aprire l'elenco Insiemi di credenziali dei servizi di ripristino e selezionare l'insieme di credenziali che si vuole spostare. Quando il dashboard dell'insieme di credenziali viene aperto, viene visualizzato come illustrato nell'immagine seguente.

    Open Recovery Services Vault

    Se le informazioni di base per l'insieme di credenziali non sono visualizzate, selezionare l'icona a discesa. Le informazioni di base dovrebbero ora essere visualizzate.

    Essentials Information tab

  3. Nel menu di panoramica dell'insieme di credenziali selezionare Cambia accanto a Sottoscrizione per aprire il riquadro Sposta risorse .

    Change Subscription

  4. Selezionare le risorse da spostare. In questo caso, è consigliabile usare l'opzione Seleziona tutto per selezionare tutte le risorse facoltative elencate.

    move resource

  5. Dall'elenco a discesa Sottoscrizione selezionare la sottoscrizione di destinazione in cui si vuole spostare l'insieme di credenziali.

  6. Per aggiungere il gruppo di risorse di destinazione, nell'elenco a discesa Gruppo di risorse selezionare un gruppo di risorse esistente o selezionare l'opzione Crea un nuovo gruppo .

    Add Subscription

  7. Selezionare Comprendo che gli strumenti e gli script associati alle risorse spostate non funzioneranno fino a quando non vengono aggiornati per l'uso di nuovi ID risorsa per confermare e quindi selezionare OK.

Nota

Il backup tra sottoscrizioni (l'insieme di credenziali RS e le macchine virtuali protette si trovano in sottoscrizioni diverse) non è uno scenario supportato. Inoltre, l'opzione di ridondanza dell'archiviazione dall'archiviazione con ridondanza locale all'archiviazione con ridondanza globale (GRS) e viceversa non può essere modificata durante l'operazione di spostamento dell'insieme di credenziali.

Usare portale di Azure per eseguire il backup delle risorse nell'insieme di credenziali di Servizi di ripristino dopo lo spostamento tra aree

Azure Resource Mover supporta lo spostamento di più risorse tra aree. Durante lo spostamento delle risorse da un'area a un'altra, è possibile assicurarsi che le risorse rimangano protette. Poiché Backup di Azure supporta la protezione di diversi carichi di lavoro, potrebbe essere necessario eseguire alcuni passaggi per continuare ad avere lo stesso livello di protezione nella nuova area.

Per comprendere i passaggi dettagliati per ottenere questo risultato, vedere le sezioni seguenti.

Nota

  • Backup di Azure attualmente non supporta lo spostamento dei dati di backup da un insieme di credenziali di Servizi di ripristino a un altro. Per proteggere la risorsa nella nuova area, la risorsa deve essere registrata e sottoposta a backup in un insieme di credenziali nuovo/esistente nella nuova area. Quando si spostano le risorse da un'area a un'altra, i dati di backup negli insiemi di credenziali di Servizi di ripristino esistenti nell'area precedente possono essere conservati/eliminati in base alle esigenze. Se si sceglie di conservare i dati negli insiemi di credenziali precedenti, verranno addebitati i costi di backup di conseguenza.
  • Dopo lo spostamento delle risorse, per garantire la sicurezza continua per le risorse di cui è stato eseguito il backup in un insieme di credenziali configurato con l'autorizzazione multiutente, l'insieme di credenziali di destinazione deve essere configurato con MUA usando Resource Guard nell'area di destinazione. Ciò è dovuto al fatto che Resource Guard e l'insieme di credenziali devono trovarsi nella stessa area; Pertanto, Resource Guard per l'insieme di credenziali di origine non può essere usato per abilitare MUA nell'insieme di credenziali di destinazione.

Eseguire il backup della macchina virtuale di Azure dopo lo spostamento tra aree

Quando una macchina virtuale di Azure protetta da un insieme di credenziali di Servizi di ripristino viene spostata da un'area a un'altra, non può più essere eseguito il backup nell'insieme di credenziali precedente. I backup nell'insieme di credenziali precedente avranno esito negativo con gli errori BCMV2VMNotFound o ResourceNotFound. Per informazioni su come proteggere le macchine virtuali nella nuova area, vedere le sezioni seguenti.

Preparare lo spostamento di macchine virtuali di Azure

Prima di spostare una macchina virtuale, verificare che siano soddisfatti i prerequisiti seguenti:

  1. Vedere i prerequisiti associati allo spostamento della macchina virtuale e assicurarsi che la macchina virtuale sia idonea per lo spostamento.
  2. Selezionare la macchina virtuale nella scheda Elementi di backup del dashboard dell'insieme di credenziali esistente e selezionare Arresta protezione seguita da conservare/eliminare i dati in base alle esigenze. Quando i dati di backup per una macchina virtuale vengono arrestati con la conservazione dei dati, i punti di ripristino rimangono per sempre e non rispettano alcun criterio. Ciò garantisce che i dati di backup siano sempre pronti per il ripristino.

    Nota

    La conservazione dei dati nell'insieme di credenziali precedente comporta addebiti per il backup. Se non si desidera più conservare i dati per evitare la fatturazione, è necessario eliminare i dati di backup conservati usando l'opzione Elimina dati.

  3. Assicurarsi che le macchine virtuali siano attivate. Tutti i dischi delle macchine virtuali che devono essere disponibili nell'area di destinazione vengono collegati e inizializzati nelle macchine virtuali.
  4. Assicurarsi che le macchine virtuali dispongano dei certificati radice attendibili più recenti e di un elenco di revoche di certificati (CRL) aggiornato. A tale scopo, procedere nel seguente modo:
    • Nelle macchine virtuali Windows installare gli ultimi aggiornamenti di Windows.
    • Nelle macchine virtuali Linux fare riferimento alle indicazioni sul server di distribuzione per assicurarsi che i computer dispongano dei certificati più recenti e di CRL.
  5. Consentire la connettività in uscita dalle macchine virtuali:
    • Se si usa un proxy firewall basato su URL per controllare la connettività in uscita, consentire l'accesso a questi URL.
    • Se si usano regole del gruppo di sicurezza di rete (NSG) per controllare la connettività in uscita, creare queste regole del tag del servizio.

Spostare macchine virtuali di Azure

Spostare la macchina virtuale nella nuova area usando Azure Resource Mover.

Proteggere le macchine virtuali di Azure usando Backup di Azure

Iniziare a proteggere la macchina virtuale in un insieme di credenziali di Servizi di ripristino nuovo o esistente nella nuova area. Quando è necessario eseguire il ripristino dai backup precedenti, è comunque possibile farlo dall'insieme di credenziali di Servizi di ripristino precedente se si è scelto di conservare i dati di backup.

I passaggi precedenti devono essere utili per assicurarsi che le risorse vengano sottoposte a backup anche nella nuova area.

Eseguire il backup di Condivisione file di Azure dopo lo spostamento tra aree

Backup di Azure offre una soluzione di gestione snapshot per la File di Azure oggi. Ciò significa che non si spostano i dati di condivisione file negli insiemi di credenziali di Servizi di ripristino. Inoltre, poiché gli snapshot non vengono spostati con l'account Archiviazione, si avranno in modo efficace tutti i backup (snapshot) nell'area esistente e protetti dall'insieme di credenziali esistente. Tuttavia, se si spostano gli account Archiviazione insieme alle condivisioni file tra aree o si creano nuove condivisioni file nella nuova area, vedere le sezioni seguenti per assicurarsi che siano protette da Backup di Azure.

Preparare lo spostamento di Condivisione file di Azure

Prima di spostare l'account Archiviazione, assicurarsi che siano soddisfatti i prerequisiti seguenti:

  1. Vedere i prerequisiti per spostare Archiviazione Account.
  2. Esportare e modificare un modello di spostamento risorse. Per altre informazioni, vedere Preparare Archiviazione Account per lo spostamento dell'area.

Spostare condivisione file di Azure

Per spostare gli account di Archiviazione insieme alle condivisioni file di Azure da un'area a un'altra, vedere Spostare un account Archiviazione di Azure in un'altra area.

Nota

Quando la condivisione file di Azure viene copiata tra aree, gli snapshot associati non vengono spostati insieme a esso. Per spostare i dati degli snapshot nella nuova area, è necessario spostare i singoli file e directory degli snapshot nell'account Archiviazione nella nuova area usando AzCopy.

Proteggere la condivisione file di Azure usando Backup di Azure

Iniziare a proteggere la condivisione file di Azure copiata nel nuovo account Archiviazione in un insieme di credenziali di Servizi di ripristino nuovo o esistente nella nuova area.

Dopo aver copiato la condivisione file di Azure nella nuova area, è possibile scegliere di arrestare la protezione ed eliminare gli snapshot (e i punti di ripristino corrispondenti) della condivisione file di Azure originale in base alle esigenze. Questa operazione può essere eseguita selezionando la condivisione file nella scheda Elementi di backup del dashboard dell'insieme di credenziali originale. Quando i dati di backup per Condivisione file di Azure vengono arrestati con i dati di conservazione, i punti di ripristino rimangono per sempre e non rispettano alcun criterio.

Ciò garantisce che gli snapshot siano sempre pronti per il ripristino dall'insieme di credenziali precedente.

Eseguire il backup di SQL Server/SAP HANA nella macchina virtuale di Azure dopo lo spostamento tra aree

Quando si sposta una macchina virtuale che esegue SQL o SAP HANA server in un'altra area, i database SQL e SAP HANA in tali macchine virtuali non possono più essere sottoposti a backup nell'insieme di credenziali dell'area precedente. Per proteggere i server SQL e SAP HANA in esecuzione nella macchina virtuale di Azure nella nuova area, vedere le sezioni seguenti.

Preparare lo spostamento di SQL Server/SAP HANA nella macchina virtuale di Azure

Prima di spostare SQL Server/SAP HANA in esecuzione in una macchina virtuale in una nuova area, assicurarsi che siano soddisfatti i prerequisiti seguenti:

  1. Vedere i prerequisiti associati allo spostamento della macchina virtuale e assicurarsi che la macchina virtuale sia idonea per lo spostamento.
  2. Selezionare la macchina virtuale nella scheda Elementi di backup del dashboard dell'insieme di credenziali esistente e selezionare i database per i quali è necessario arrestare il backup. Selezionare Arresta protezione seguita da conservare/eliminare i dati in base alle esigenze. Quando i dati di backup vengono arrestati con i dati di conservazione, i punti di ripristino rimangono per sempre e non rispettano alcun criterio. Ciò garantisce che i dati di backup siano sempre pronti per il ripristino.

    Nota

    La conservazione dei dati nell'insieme di credenziali precedente comporta addebiti per il backup. Se non si desidera più conservare i dati per evitare la fatturazione, è necessario eliminare i dati di backup conservati usando l'opzione Elimina dati.

  3. Assicurarsi che le macchine virtuali da spostare siano attivate. Tutti i dischi delle macchine virtuali che devono essere disponibili nell'area di destinazione vengono collegati e inizializzati nelle macchine virtuali.
  4. Assicurarsi che le macchine virtuali dispongano dei certificati radice attendibili più recenti e di un elenco di revoche di certificati aggiornato (CRL). A tale scopo, procedere nel seguente modo:
    • Nelle macchine virtuali Windows installare gli ultimi aggiornamenti di Windows.
    • Nelle macchine virtuali Linux fare riferimento alle indicazioni sul server di distribuzione e assicurarsi che i computer abbiano i certificati più recenti e CRL.
  5. Consentire la connettività in uscita dalle macchine virtuali:
    • Se si usa un proxy firewall basato su URL per controllare la connettività in uscita, consentire l'accesso a questi URL.
    • Se si usano regole del gruppo di sicurezza di rete (NSG) per controllare la connettività in uscita, creare queste regole di tag di servizio.

Spostare SQL Server/SAP HANA nella macchina virtuale di Azure

Spostare la macchina virtuale nella nuova area usando Azure Resource Mover.

Proteggere SQL Server/SAP HANA nella macchina virtuale di Azure usando Backup di Azure

Iniziare a proteggere la macchina virtuale in un insieme di credenziali di Servizi di ripristino nuovo/esistente nella nuova area. Quando è necessario ripristinare dai backup precedenti, è comunque possibile eseguirlo dall'insieme di credenziali di Servizi di ripristino precedente.

I passaggi precedenti devono essere utili per assicurarsi che le risorse vengano sottoposte a backup anche nella nuova area.

Usare PowerShell per spostare l'insieme di credenziali di Servizi di ripristino

Per spostare un insieme di credenziali di Servizi di ripristino in un altro gruppo di risorse, usare il cmdlet Move-AzureRMResource. Move-AzureRMResource richiede il nome e il tipo della risorsa. È possibile ottenerli entrambi dal cmdlet Get-AzureRmRecoveryServicesVault.

$destinationRG = "<destinationResourceGroupName>"
$vault = Get-AzureRmRecoveryServicesVault -Name <vaultname> -ResourceGroupName <vaultRGname>
Move-AzureRmResource -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID

Per spostare le risorse in una diversa sottoscrizione, includere il parametro -DestinationSubscriptionId.

Move-AzureRmResource -DestinationSubscriptionId "<destinationSubscriptionID>" -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID

Dopo aver eseguito i cmdlet precedenti, verrà chiesto di confermare che si desidera spostare le risorse specificate. Digitare Y per confermare. Dopo la convalida, la risorsa viene spostata.

Usare l'interfaccia della riga di comando per spostare l'insieme di credenziali di Servizi di ripristino

Per spostare un insieme di credenziali di Servizi di ripristino in un altro gruppo di risorse, usare il cmdlet seguente:

az resource move --destination-group <destinationResourceGroupName> --ids <VaultResourceID>

Per spostare in una nuova sottoscrizione, inserire il parametro --destination-subscription-id.

Dopo la migrazione

  1. Impostare/verificare i controlli di accesso per i gruppi di risorse.
  2. La funzionalità di creazione di report e monitoraggio del backup deve essere configurata di nuovo per l'insieme di credenziali dopo il completamento dello spostamento. La configurazione precedente andrà persa durante l'operazione di spostamento.

Spostare una macchina virtuale di Azure in un insieme di credenziali del servizio di ripristino diverso.

Se si vuole spostare una macchina virtuale di Azure abilitata per il backup, sono disponibili due opzioni. Dipendono dai requisiti aziendali:

Non è necessario mantenere i dati di backup precedenti

Per proteggere i carichi di lavoro in un nuovo insieme di credenziali, è necessario eliminare nuovamente la protezione e i dati correnti nell'insieme di credenziali precedente e il backup.

Avviso

L'operazione seguente è distruttiva e non può essere annullata. Tutti i dati di backup e gli elementi di backup associati al server protetto verranno eliminati definitivamente. Procedere con cautela.

Arrestare ed eliminare la protezione corrente nell'insieme di credenziali precedente:

  1. Disabilitare l'eliminazione temporanea nelle proprietà dell'insieme di credenziali. Seguire questa procedura per disabilitare l'eliminazione temporanea.

  2. Arrestare la protezione ed eliminare i backup dall'insieme di credenziali corrente. Nel menu Dashboard dell'insieme di credenziali selezionare Elementi di backup. Gli elementi elencati qui che devono essere spostati nella nuova insieme di credenziali devono essere rimossi insieme ai dati di backup. Vedere come eliminare elementi protetti nel cloud ed eliminare elementi protettiin locale.

  3. Se si prevede di spostare AFS (condivisioni file di Azure), SQL server o server di SAP HANA, sarà anche necessario annullare la registrazione. Nel menu dashboard dell'insieme di credenziali selezionare Infrastruttura di backup. Vedere come annullare la registrazione del server SQL, annullare la registrazione di un account di archiviazione associato alle condivisioni file di Azure e annullare la registrazione di un'istanza di SAP HANA.

  4. Dopo aver rimosso dall'insieme di credenziali precedente, continuare a configurare i backup per il carico di lavoro nel nuovo insieme di credenziali.

Deve conservare i dati di backup precedenti

Se è necessario mantenere i dati protetti correnti nell'insieme di credenziali precedente e continuare la protezione in un nuovo insieme di credenziali, sono disponibili opzioni limitate per alcuni dei carichi di lavoro:

  • Per MARS è possibile arrestare la protezione con conservare i dati e registrare l'agente nel nuovo insieme di credenziali.

    • Backup di Azure servizio continuerà a conservare tutti i punti di ripristino esistenti dell'insieme di credenziali precedente.
    • È necessario pagare per mantenere i punti di ripristino nell'insieme di credenziali precedente.
    • Sarà possibile ripristinare i dati di backup solo per i punti di ripristino non scaduti nell'insieme di credenziali precedente.
    • È necessario creare una nuova replica iniziale dei dati nel nuovo insieme di credenziali.
  • Per una macchina virtuale di Azure, è possibile arrestare la protezione con conservare i dati per la macchina virtuale nell'insieme di credenziali precedente, spostare la macchina virtuale in un altro gruppo di risorse e quindi proteggere la macchina virtuale nel nuovo insieme di credenziali. Vedere linee guida e limitazioni per lo spostamento di una macchina virtuale in un altro gruppo di risorse.

    Una macchina virtuale può essere protetta in un unico insieme di credenziali alla volta. Tuttavia, la macchina virtuale nel nuovo gruppo di risorse può essere protetta nel nuovo insieme di credenziali perché è considerata una macchina virtuale diversa.

    • Backup di Azure servizio manterrà i punti di ripristino sottoposti a backup nell'insieme di credenziali precedente.
    • È necessario pagare per mantenere i punti di ripristino nell'insieme di credenziali precedente (vedere Backup di Azure prezzi per informazioni dettagliate).
    • Se necessario, sarà possibile ripristinare la macchina virtuale dall'insieme di credenziali precedente.
    • Il primo backup nel nuovo insieme di credenziali della macchina virtuale nella nuova risorsa sarà una replica iniziale.

Passaggi successivi

È possibile spostare molti tipi diversi di risorse tra gruppi di risorse e sottoscrizioni.

Per altre informazioni, vedere Spostare le risorse in un gruppo di risorse o una sottoscrizione nuovi.